Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera linki do stron z listą alertów zabezpieczeń, które mogą być odbierane z usługi Microsoft Defender for Cloud i wszystkich planów usługi Microsoft Defender. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga / Notatka
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Ta strona zawiera również tabelę opisującą łańcuch zabić usługi Microsoft Defender for Cloud zgodny z wersją 9 macierzy MITRE ATT&CK.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga / Notatka
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Strony alertów zabezpieczeń według kategorii
- Alerty dotyczące maszyn z systemem Windows
- Alerty dotyczące maszyn z systemem Linux
- Alerty dotyczące systemu DNS
- Alerty dotyczące rozszerzeń maszyn wirtualnych platformy Azure
- Alerty dla usługi Azure App Service
- Alerty dotyczące kontenerów — klastry Kubernetes
- Alerty dotyczące usług SQL Database i Azure Synapse Analytics
- Alerty dotyczące relacyjnych baz danych typu open source
- Alerty dotyczące usługi Resource Manager
- Alerty dotyczące usługi Azure Storage
- Alerty dotyczące usługi Azure Cosmos DB
- Alerty dla warstwy sieciowej platformy Azure
- Alerty dla usługi Azure Key Vault
- Alerty usługi Azure DDoS Protection
- Alerty dla interfejsów API usługi Defender
- Alerty dotyczące obciążeń sztucznej inteligencji
- Przestarzałe alerty zabezpieczeń
TAKTYKA MITRE ATT&CK
Zrozumienie zamiaru ataku może ułatwić badanie i zgłaszanie zdarzenia. Aby pomóc w tych wysiłkach, alerty usługi Microsoft Defender for Cloud obejmują taktykę MITRE z wieloma alertami.
Seria kroków opisujących postęp cyberataku z rekonesansu do eksfiltracji danych jest często nazywana "łańcuchem zabić".
Obsługiwane intencje łańcucha zabić w usłudze Defender for Cloud są oparte na wersji 9 macierzy MITRE ATT&CK i opisano w poniższej tabeli.
| Taktyka | Wersja ATT&CK | Description |
|---|---|---|
| Atak wstępny | Atak wstępny może być próbą uzyskania dostępu do określonego zasobu niezależnie od złośliwego zamiaru lub nieudanej próby uzyskania dostępu do systemu docelowego w celu zebrania informacji przed wykorzystaniem. Ten krok jest zwykle wykrywany jako próba, pochodząca z zewnątrz sieci, w celu skanowania systemu docelowego i identyfikowania punktu wejścia. | |
| Dostęp początkowy | V7, V9 | Początkowy dostęp to etap, w którym atakujący może uzyskać przyczółek na zaatakowany zasób. Ten etap jest istotny dla hostów obliczeniowych i zasobów, takich jak konta użytkowników, certyfikaty itp. Aktorzy zagrożeń często mogą kontrolować zasób po tym etapie. |
| Wytrwałość | V7, V9 | Trwałość to każda zmiana dostępu, akcji lub konfiguracji w systemie, który zapewnia aktorowi zagrożenia trwałą obecność w tym systemie. Podmioty zagrożeń często muszą utrzymywać dostęp do systemów przez przerwy, takie jak ponowne uruchamianie systemu, utrata poświadczeń lub inne błędy, które wymagają ponownego uruchomienia narzędzia dostępu zdalnego lub zapewnienia alternatywnej bazy danych w celu odzyskania dostępu. |
| Eskalacja uprawnień | V7, V9 | Eskalacja uprawnień jest wynikiem akcji, które umożliwiają przeciwnikowi uzyskanie wyższego poziomu uprawnień w systemie lub sieci. Niektóre narzędzia lub akcje wymagają wyższego poziomu uprawnień do pracy i są prawdopodobnie niezbędne w wielu punktach operacji. Konta użytkowników z uprawnieniami dostępu do określonych systemów lub wykonywania określonych funkcji niezbędnych dla przeciwników do osiągnięcia celu mogą być również uważane za eskalację uprawnień. |
| Uchylanie się od obrony | V7, V9 | Uchylanie się od obrony składa się z technik, których przeciwnik może użyć do uniknięcia wykrywania lub unikania innych obrony. Czasami te akcje są takie same jak techniki (lub odmiany) w innych kategoriach, które mają dodatkową korzyść z odwrócenia konkretnej obrony lub ograniczania ryzyka. |
| Dostęp poświadczeń | V7, V9 | Dostęp poświadczeń reprezentuje techniki, co powoduje dostęp do systemu, domeny lub poświadczeń usługi używanych w środowisku przedsiębiorstwa lub kontroli nad tym, czy nie. Przeciwnicy prawdopodobnie podejmą próbę uzyskania wiarygodnych poświadczeń od użytkowników lub kont administratorów (administrator systemu lokalnego lub użytkowników domeny z dostępem administratora) do użycia w sieci. Mając wystarczający dostęp w sieci, atakujący może utworzyć konta do późniejszego użycia w środowisku. |
| Odnajdywanie | V7, V9 | Odnajdywanie składa się z technik, które umożliwiają przeciwnikowi uzyskanie wiedzy na temat systemu i sieci wewnętrznej. Kiedy przeciwnicy uzyskują dostęp do nowego systemu, muszą zorientować się w tym, nad czym mają teraz kontrolę i jakie korzyści daje działanie z tego systemu dla ich obecnego celu lub ogólnych celów podczas włamania. System operacyjny udostępnia wiele natywnych narzędzi, które pomagają w tym etapie zbierania informacji po naruszeniu zabezpieczeń. |
| LateralMovement (Owement poprzeczny) | V7, V9 | Ruch poprzeczny składa się z technik, które umożliwiają przeciwnikowi uzyskiwanie dostępu do systemów zdalnych i sterowanie nimi w sieci i może, ale niekoniecznie, obejmują wykonywanie narzędzi w systemach zdalnych. Techniki przenoszenia bocznego mogą umożliwić przeciwnikowi zbieranie informacji z systemu bez konieczności używania większej liczby narzędzi, takich jak narzędzie dostępu zdalnego. Przeciwnik może używać ruchu bocznego do wielu celów, w tym zdalnego wykonywania narzędzi, przestawiania do większej liczby systemów, dostępu do określonych informacji lub plików, dostępu do większej liczby poświadczeń lub spowodowania efektu. |
| Wykonanie | V7, V9 | Taktyka wykonywania reprezentuje techniki, które powodują wykonanie kodu kontrolowanego przez przeciwnika w lokalnym lub zdalnym systemie. Ta taktyka jest często używana w połączeniu z ruchem bocznym w celu rozszerzenia dostępu do systemów zdalnych w sieci. |
| Kolekcja | V7, V9 | Kolekcja składa się z technik używanych do identyfikowania i zbierania informacji, takich jak poufne pliki, z sieci docelowej przed eksfiltracją. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| Sterowanie i sterowanie | V7, V9 | Taktyka poleceń i kontroli reprezentuje sposób, w jaki przeciwnicy komunikują się z systemami pod ich kontrolą w sieci docelowej. |
| Eksfiltracja | V7, V9 | Eksfiltracja odnosi się do technik i atrybutów, które powodują lub pomagają w ataku usuwającym pliki i informacje z sieci docelowej. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| Impact | V7, V9 | Zdarzenia wpływają głównie na zmniejszenie dostępności lub integralności systemu, usługi lub sieci; w tym manipulowanie danymi w celu wpływu na proces biznesowy lub operacyjny. Często odnosi się to do technik, takich jak ransomware, defacement, manipulowanie danymi i inne. |
Uwaga / Notatka
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.